CVE-2025-32432

چکیده

آسیب‌پذیری بحرانی در Craft CMS نسخه‌های  3.0.0-RC1 تا قبل از 3.9.15، 4.0.0-RC1 تا قبل از 4.14.15، و 5.0.0-RC1 تا قبل از 5.6.17 ناشی از ضعف در اعتبارسنجی ورودی‌ها در اندپوینت asset-transform است که امکان اجرای کد از راه دور (RCE) را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-32432 در Craft CMS، یک سیستم مدیریت محتوای انعطاف‌پذیر برای ایجاد تجربه‌های دیجیتال، ناشی از عدم اعتبارسنجی مناسب ورودی‌ها در اندپوینت actions/assets/generate-transform (Asset Transform endpoint) است و مطابق باCWE-94  طبقه‌بندی می‌شود. این ضعف به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد تا کد PHP دلخواه را از راه دور (RCE) اجرا کنند.

بهره‌برداری از این آسیب‌پذیری از طریق ترکیب دو تکنیک انجام می‌شود:

1. Session Poisoning: مهاجم با ارسال درخواست GET به مسیر /index.php?p=admin/dashboard&a=<?=…?> کد PHP دلخواه را در فایل نشست موقت (/tmp/sess_<ID>) ذخیره می‌کند.
2. Deserialization Gadget: با ارسال درخواست POST به اندپوینت actions/assets/generate-transform و استفاده از گجت‌های FieldLayoutBehavior و PhpManager, سیستم فایل نشست آلوده را فراخوانی کرده و کد مخرب را اجرا می‌کند.

این حمله بدون نیاز به احراز هویت یا تعامل کاربر و از طریق شبکه قابل انجام است. پیامدهای آن شامل نقض شدید محرمانگی با دسترسی به داده‌های حساس، یکپارچگی با تغییر محتوا یا تنظیمات سیستم و در دسترس‌پذیری با ایجاد اختلال در عملکرد سیستم است. این آسیب‌پذیری به مهاجم اجازه می‌دهد کنترل کامل سرور را به دست آورد، داده‌ها را سرقت کند یا بدافزار نصب را کند.

کد اثبات مفهومی (PoC) منتشر شده شامل دو اسکریپت Python است یکی برای بررسی سریع اجرای PHP با چاپ خروجی phpinfo() و دیگری برای اجرای کامل دستورات شل (shell commands) از طریق زنجیره گجت‌ها (gadget chain).

Craft CMS این آسیب‌پذیری را در نسخه‌های 3.9.15، 4.14.15 و 5.6.17 با commit e1c85441fa47eeb7c688c2053f25419bc0547b47 پچ کرده است. اصلاحات شامل بهبود اعتبارسنجی ورودی‌ها در اندپوینت Asset Transform و جلوگیری از اجرای کد از طریق گجت‌های deserialization است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که craftcms را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

با توجه به شدت بحرانی این آسیب‌پذیری و ماهیت اجرای کد از راه دور در Craft CMS، اقدامات کاهش ریسک زیر توصیه می‌شود:

• به‌روزرسانی فوری CMS: تمامی نصب‌های Craft CMS باید به نسخه‌های پچ شده به روزرسانی شوند. این به‌روزرسانی‌ها آسیب‌پذیری را در اندپوینت Asset Transform رفع کرده و اجرای کد از طریق گجت‌های deserialization را مسدود می‌کند.
• اعتبارسنجی ورودی‌ها: اطمینان حاصل کنید که تمام ورودی‌ها در اندپوینت های حساس مانند actions/assets/generate-transform به درستی اعتبارسنجی و پاک‌سازی (sanitized) می‌شوند.
• محدودسازی دسترسی شبکه: سرورهای Craft CMS را پشت فایروال‌های وب (WAF) قرار دهید و دسترسی به مسیرهای حساس مانند admin/dashboard را محدود کنید.
• نظارت بر فعالیت‌ها: لاگ‌های سرور را برای شناسایی درخواست‌های مشکوک به اندپوینت های generate-transform یا مسیرهای مدیریتی بررسی کنید.
• استفاده از افزونه‌های امنیتی: از ابزارهای امنیتی مانند WAF یا سیستم‌های تشخیص نفوذ (IDS) برای شناسایی و مسدود کردن تلاش‌های بهره‌برداری استفاده کنید.
• آموزش و آگاهی: مدیران و توسعه‌دهندگان را در مورد ریسک RCE و اهمیت به‌روزرسانی منظم آگاه کنید.

اجرای این اقدامات، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت سرورهای Craft CMS را تقویت می‌کند. این آسیب‌پذیری بر اهمیت اعتبارسنجی ورودی‌ها، مدیریت امن نشست ها و به‌روزرسانی منظم نرم‌افزار در سیستم‌های مدیریت محتوا تأکید دارد.

 امکان استفاده از تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم بدون نیاز به احراز هویت می‌تواند از طریق اندپوینت عمومی actions/assets/generate-transform  درخواست ارسال کند. این ضعف در اعتبارسنجی ورودی‌ها امکان بارگذاری داده‌ی مخرب و اجرای کد از راه دور را فراهم می‌سازد.

Execution (TA0002)
با استفاده از تکنیک Session Poisoning و Deserialization Gadget مانند FieldLayoutBehavior  و PhpManager، مهاجم قادر است کد PHP دلخواه را روی سرور اجرا کند.

Persistence (TA0003)
پس از اجرای موفق RCE، مهاجم می‌تواند وب‌شل روی سرور مستقر کرده یا فایل‌های اصلی CMS را تغییر دهد و بدین شکل دسترسی مداوم به سیستم داشته باشد.

Privilege Escalation (TA0004)
در صورتی که Craft CMS با سطح دسترسی بالا اجرا شود، مهاجم می‌تواند با اجرای دستورات سیستمی امتیازات بیشتری کسب کند و کنترل کامل سرور را در اختیار بگیرد.

Defense Evasion (TA0005)
مهاجم می‌تواند کد مخرب را در فایل‌های نشست (session files) پنهان کرده یا آن را به صورت مبهم‌سازی‌شده (obfuscated)  بارگذاری کند تا از شناسایی توسط ابزارهای امنیتی فرار کند.

Credential Access (TA0006)
با دسترسی به فایل‌های پیکربندی .env یا config.php، مهاجم می‌تواند به رمزهای عبور دیتابیس و کلیدهای API  دسترسی یابد.

Discovery (TA0007)
پس از RCE، مهاجم می‌تواند ساختار دایرکتوری‌ها، فایل‌های حساس و تنظیمات سرور را شناسایی کند تا برای مراحل بعدی حمله آماده شود.

Collection (TA0009)
مهاجم قادر است داده‌های حساس کاربران و فایل‌های بارگذاری‌شده روی CMS را استخراج کرده و روی سرور جمع‌آوری کند.

Exfiltration (TA0010)
داده‌های به‌دست‌آمده می‌توانند از طریق همان وب‌سرور یا کانال‌های پنهان مانند وب‌شل یا API دستکاری‌شده به سیستم مهاجم ارسال شوند.

Impact (TA0040)
مهاجم می‌تواند کنترل کامل سرور را به دست آورد، داده‌ها را سرقت کند، محتوای وب‌سایت را تغییر دهد (Defacement)، یا حتی سیستم را از دسترس خارج نماید. این موضوع نقض محرمانگی، یکپارچگی و دسترس‌پذیری را به‌طور همزمان رقم می‌زند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-32432
2. https://www.cvedetails.com/cve/CVE-2025-32432/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-32432
4. https://vuldb.com/?id.306252
5. https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3
6. https://github.com/craftcms/cms/commit/e1c85441fa47eeb7c688c2053f25419bc0547b47
7. https://github.com/craftcms/cms/blob/3.x/CHANGELOG.md#3915—2025-04-10-critical
8. https://github.com/craftcms/cms/blob/4.x/CHANGELOG.md#41415—2025-04-10-critical
9. https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5617—2025-04-10-critical
10. https://github.com/CTY-Research-1/CVE-2025-32432-PoC
11. https://github.com/B1ack4sh/Blackash-CVE-2025-32432
12. https://nvd.nist.gov/vuln/detail/CVE-2025-32432
13. https://cwe.mitre.org/data/definitions/94.html